Kaseya teria ignorado alertas de ex-funcionários sobre falhas de segurança em seu software
Mais informações sobre o ataque hacker aos servidores da Kaseya continuam a aparecer. Agora, cinco ex-funcionários contaram à Bloomberg que alertaram por anos a companhia sobre falhas críticas de segurança em seu software. No entanto, os trabalhadores foram ignorados, com muitos deles pedindo demissão fui dispensados pela própria Kaseya devido à insistência por melhorias.
Entre 2017 e 2020, funcionários relataram “ampla preocupação com a cibersegurança” a seus superiores, alegando que a Kaseya usava código desatualizado, implementava criptografia ruim e não corrigia periodicamente seu software e servidores. A identidade dos ex-funcionários não foi revelada, uma vez que eles assinaram acordos com a Kaseya para não divulgarem como era o ambiente de trabalho, sob o risco de retaliação.
Dois ex-funcionários disseram ter alertado os executivos sobre vulnerabilidades no software Virtual System Administrator (VSA) — o sistema que os hackers sequestraram para lançar o último ataque. De acordo com os informantes, havia tantos problemas que eles queriam substitui o tal sistema. O software da Kaseya já havia sido explorado em ataques de ransomware antes, pelo menos duas vezes entre 2018 e 2019. Surpreendentemente, isso ainda não foi suficiente para convencê-los a repensar seus padrões de segurança cibernética.
Clientes da Kaseya, empresas conhecidas como provedores de serviços gerenciados (MSPs), fornecem serviços de TI remotos para centenas de companhias menores, e usam servidores VSA para gerenciar e enviar atualizações de software a esses clientes.
Segundo relatórios iniciais, os hackers conseguiram acesso à infraestrutura de back-end da Kaseya para enviar malware disfarçado como uma atualização de software para servidores VSA. A partir daí, os criminosos usaram a atualização maliciosa para instalar ransomware em cada estação de trabalho conectada aos sistemas VSA. A gangue de ransomware REvil, ligada à Rússia, assumiu a autoria do ataque e pede um resgate de US$ 70 milhões para desbloquear todos os computadores afetados. Mais de mil empresas no mundo todo foram impactadas.
Um ex-funcionário disse à Bloomberg que, em 2019, enviou aos chefes da Kaseya um memorando de 40 páginas descrevendo suas preocupações com a segurança. Essa teria sido uma das várias tentativas do ex-empregado durante sua gestão para convencer os líderes da empresa a abordar tais questões. Ele foi demitido duas semanas depois. Outros trabalhadores desistiram de tentar alertar a companhia depois que a Kaseya pareceu se concentrar em lançar novos recursos do produto ao invés de abordar as vulnerabilidades existentes.
Outro ex-funcionário alegou que a Kaseya armazenava senhas não-criptografadas de clientes em plataformas de terceiros, e raramente corrigia seu software ou servidores. Quando a empresa começou a demitir funcionários em 2018 para terceirizar seus empregos para a Bielo-Rússia, quatro dos cinco trabalhadores com quem a Bloomberg falou disseram que viram esta decisão como um risco potencial de segurança.
Quando solicitada a comentar sobre essas alegações de seus ex-funcionários, a Kaseya forneceu a seguinte declaração ao Gizmodo US: “O foco da Kaseya está nos clientes que foram afetados e nas pessoas que têm dados reais e estão tentando descobrir isso, não em especulações aleatórias de ex-funcionários ou do mundo todo”.
Na semana passada, a Kaseya afirmou que já encontrou uma solução para o problema envolvendo o ranswomare. Contudo, até que uma atualização seja disponibilizada, os servidores VSA locais devem continuar offline.